Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OWASP CSRFGuard (CVE-2021-28490)
Fecha de publicación:
19/08/2021
Idioma:
Español
En OWASP CSRFGuard versiones hasta 3.1.0, un ataque de tipo CSRF puede ocurrir porque la cookie CSRF puede ser recuperada usando sólo un token de sesión.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/08/2021

Vulnerabilidad en el valor $conditions["org"] del componente app/Model/Log.php en MISP (CVE-2021-39302)
Fecha de publicación:
19/08/2021
Idioma:
Español
MISP versión 2.4.148, en determinadas configuraciones, permite una inyección SQL por medio del valor $conditions["org"] del componente app/Model/Log.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/08/2021

Vulnerabilidad en la sintaxis de mathjax en Typora (CVE-2020-18748)
Fecha de publicación:
19/08/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Typora versión v0.9.65, permite a atacantes ejecutar código arbitrario por medio de la sintaxis de mathjax debido a un error de configuración de mathjax en los bloques de fórmulas matemáticas. Esta es una vulnerabilidad diferente a CVE-2020-18221.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2021

Vulnerabilidad en la funcionalidad legacy ticketing en Rapid7 Nexpose (CVE-2021-31868)
Fecha de publicación:
19/08/2021
Idioma:
Español
Rapid7 Nexpose versiones 6.6.95 y anteriores, permiten a usuarios autenticados de la Consola de Seguridad visualizar y editar cualquier ticket en la funcionalidad legacy ticketing, independientemente de la asignación del ticket. Este problema fue resuelto en versión 6.6.96, publicada el 4 de agosto de 2021.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/08/2021

Vulnerabilidad en la función save_currency_settings en el archivo ~/admin/inc/wp_easycart_admin_initial_setup.php en el plugin de WordPress Shopping Cart & eCommerce Store (CVE-2021-34645)
Fecha de publicación:
19/08/2021
Idioma:
Español
El plugin de WordPress Shopping Cart & eCommerce Store, es vulnerable a un ataque de tipo Cross-Site Request Forgery por medio de la función save_currency_settings que se encuentra en el archivo ~/admin/inc/wp_easycart_admin_initial_setup.php y que permite a atacantes inyectar scripts web arbitrario, en versiones hasta 5.1.0 incluyéndola.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2021

Vulnerabilidad en un canal en SINEMA Remote Connect Client (CVE-2021-31338)
Fecha de publicación:
19/08/2021
Idioma:
Español
Se ha identificado una vulnerabilidad en SINEMA Remote Connect Client (Todas las versiones anteriores a V3.0 SP1). Los dispositivos afectados permiten modificar los ajustes de configuración a través de un canal no autenticado. Esto podría permitir a un atacante local escalar privilegios y ejecutar código propio en el dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2021

Vulnerabilidad en en el router inalámbrico N WR840N de TP-Link (CVE-2021-29280)
Fecha de publicación:
19/08/2021
Idioma:
Español
En el router inalámbrico N WR840N de TP-Link, un ataque de envenenamiento ARP puede causar un desbordamiento del búfer.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/08/2021

Vulnerabilidad en la administración de los manejadores en el archivo OVRServiceLauncher.exe en Oculus Desktop (CVE-2021-24038)
Fecha de publicación:
19/08/2021
Idioma:
Español
Debido a un bug en la administración de los manejadores en el archivo OVRServiceLauncher.exe, un atacante podría exponer un manejador de proceso privilegiado a un proceso no privilegiado, conllevando a una escalada de privilegios local. Este problema afecta a Oculus Desktop versiones posteriores a 1.39 y anteriores a 31.1.0.67.507.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/08/2021

Vulnerabilidad en el campo "authProvider" de la clase "_Session" en "createdWith" en Parse Server (CVE-2021-39138)
Fecha de publicación:
19/08/2021
Idioma:
Español
Parse Server es un backend de código abierto que puede desplegarse en cualquier infraestructura que pueda ejecutar Node.js. Los desarrolladores pueden usar la API REST para registrar usuarios y también permitir a usuarios registrarse anónimamente. Versiones anteriores a 4.5.1, cuando un usuario anónimo es registrado por primera vez usando REST, el servidor creaba la sesión incorrectamente. En particular, el campo "authProvider" de la clase "_Session" en "createdWith" muestra que el usuario se ha registrado creando una contraseña. Si un desarrollador depende posteriormente del campo "createdWith" para proporcionar un nivel de acceso diferente entre un usuario con contraseña y un usuario anónimo, el servidor clasifica incorrectamente el tipo de sesión como creada con un "password". El servidor no usa actualmente "createdWith" para tomar decisiones sobre las funciones internas, por lo que si un desarrollador no está usando "createdWith" directamente, no está afectado. La vulnerabilidad sólo afecta a usuarios que dependen de "createdWith" al usarlo directamente. El problema está parcheado en Parse Server versión 4.5.1. Como solución, no use el campo de sesión "createdWith" para tomar decisiones si se permite el acceso anónimo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en los parámetros ElasticsearchWriter, GelfWriter, InfluxdbWriter e Influxdb2Writer en Icinga (CVE-2021-37698)
Fecha de publicación:
19/08/2021
Idioma:
Español
Icinga es un sistema de monitorización que comprueba la disponibilidad de los recursos de red, notifica a usuarios de las interrupciones y genera datos de rendimiento para la elaboración de informes. En las versiones 2.5.0 a 2.13.0, los parámetros ElasticsearchWriter, GelfWriter, InfluxdbWriter e Influxdb2Writer no verifican el certificado del servidor a pesar de que se haya especificado una autoridad de certificación. Las instancias de Icinga 2 que se conectan a cualquiera de las bases de datos de series temporales (TSDB) mencionadas usando TLS sobre una infraestructura falsificable deben actualizar inmediatamente a versiones 2.13.1, 2.12.6 o 2.11.11 para solucionar el problema. Dichas instancias también deben cambiar las credenciales (si las presenta) usadas por la funcionalidad TSDB writer para autenticarse contra la TSDB. No se presentan soluciones aparte de la actualización.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

CVE-2013-0344
Fecha de publicación:
19/08/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2013. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2013-1791
Fecha de publicación:
19/08/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2013. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades